确保开源软件供应链的安全是一件大事。去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性。这是在Colonial Pipeline勒索软件攻击关闭了整个东南部的天然气和石油运输以及SolarWinds软件供应链攻击之后发生的。确保软件安全成为重中之重。
作为回应,开源安全基金会(OpenSSF)和Linux基金会起来迎接这一安全挑战。现在,他们呼吁在两年内提供1.5亿美元的资金,以修复十个主要的开源安全问题。
美国政府将不会为这些变化支付费用。亚马逊、爱立信、Google、英特尔、微软和VMWare已经认捐了3000万美元。更多的厂商已经开始行动,例如亚马逊网络服务(AWS)已经认捐了额外的1000万美元。
以下是开源产业致力于实现的十个目标:
安全教育:向所有人提供基线安全软件开发教育和认证。
风险评估:为前10000个(或更多)开放源码软件组件建立一个公共的、供应商中立的、基于客观计量的风险评估仪表板。
数字签名:加快软件发布中数字签名的采用。
内存安全:通过替换非内存安全的语言,消除许多漏洞的根源。
事故响应:建立OpenSSF开源安全事件响应小组,安全专家可以在应对漏洞的关键时刻介入,协助开源项目。
扫描技术:通过先进的安全工具和专家指导,加速维护者和专家对新漏洞的发现。
代码审计:每年一次对多达200个最关键的开放源码软件组件进行第三方代码审查(以及任何必要的修复工作)。
数据共享:协调全行业的数据共享,以改善有助于确定最关键的开放源码软件组件的研究。
软件材料清单(SBOMs):推动改进SBOM工具和培训的采用。
改进供应链:通过更好的供应链安全工具和最佳实践,加强10个最关键的开源软件构建系统、软件包管理器和分销系统。
了解更多:
https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8